Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JREに再び脆弱性 - 電子政府「e-Gov」は最新版対応をアナウンス

サン・マイクロシステムズが提供しているJavaアプリケーションの実行環境「JRE」に脆弱性が見つかったとして、情報処理推進機構(IPA)では、注意を呼びかけている。

今回公表されたのは、JREのXSLT処理に関するもので、悪意あるJavaアプレットを利用したウェブページを閲覧した場合、任意のコードが実行されたり、情報漏洩、ブラウザの終了など被害を受ける可能性がある。

影響を受けるのは、「JRE 6 Update 4」「同5.0 Update 14」「同1.4.2_16」ほか、開発者向けパッケージ「JDK 6 Update 4」「JDK 5.0 Update 14」「SDK 1.4.2_16」などで、いずれも以前のバージョンも含まれる。

今回の脆弱性は、サン・マイクロシステムズが公開した最新版へアップデートすることで回避できるが、一部バージョンについては旧バージョンを削除する必要がある。またバージョンアップによりJavaアプリケーションの実行に影響を及ぼす可能性があるため、注意が必要だ。

同脆弱性は、2006年10月に富士通研究所の兒島尚氏よりIPAへ届け出があり、JPCERTコーディネーションセンターがサンと調整を進めてきたもので、解消まで1年5カ月かかった。

今回脆弱性が見つかった「JRE」は、政府や地方公共団体の電子申請などで幅広く利用されている。2007年には同ソフトに脆弱性が発見され、さらに旧バージョンの利用を推奨している政府機関があったことから、大きな問題となった。

今回の脆弱性について、電子政府の総合窓口となる「e-Gov電子申請システム」では、早々に最新版に対応していることを明らかにしており、最新版の利用を推奨している。

Java.com
http://java.com/ja/

サン・マイクロシステムズ
http://www.sun.co.jp/

(Security NEXT - 2008/03/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

あらたな脅威へ対応する設定ファイルが原因に - CrowdStrike障害
Windows端末の障害問題に便乗するサイバー攻撃が発生中
CrowdStrike、Windows環境での不具合で声明 - 復旧方法も紹介
一部Window端末が正常に起動できず - CrowdStrikeが不具合認める
システムの仕様を知らずメール誤送信が発生 - 東京都福祉保健財団
市教委で特別支援教育就学奨励費対象児童の一部名簿を紛失 - 湖西市
Cisco、セキュリティアドバイザリ9件を公開 - 「Blast-RADIUS」の影響も
書類が車両走行中に散乱、一部未回収 - 明治国際医療大
職員がサポート詐欺被害、被害端末内に個人情報 - 吉田町
メールシステムで設定ミス、当初ベンダーも原因特定できず - 上智大